Peneliti keamanan siber telah menjelaskan trojan akses jarak jauh baru yang disebut Bukan Euclid yang memungkinkan pelaku kejahatan mengontrol sistem Windows yang disusupi dari jarak jauh.
“Trojan akses jarak jauh (RAT) NonEuclid, yang dikembangkan di C#, adalah malware sangat canggih yang menawarkan akses jarak jauh tidak sah dengan teknik penghindaran tingkat lanjut,” kata Cyfirma dalam analisis teknis yang diterbitkan minggu lalu.
“Ini menggunakan berbagai mekanisme, termasuk bypass antivirus, peningkatan hak istimewa, anti-deteksi, dan enkripsi ransomware yang menargetkan file penting.”
NonEuclid telah diiklankan di forum bawah tanah setidaknya sejak akhir November 2024, dengan tutorial dan diskusi tentang malware yang ditemukan di platform populer seperti Discord dan YouTube. Hal ini menunjukkan upaya bersama untuk mendistribusikan malware sebagai solusi kejahatan.
Pada intinya, RAT dimulai dengan fase inisialisasi untuk aplikasi klien, setelah itu ia melakukan serangkaian pemeriksaan untuk menghindari deteksi sebelum menyiapkan soket TCP untuk komunikasi dengan IP dan port tertentu.
Ini juga mengonfigurasi pengecualian Antivirus Pertahanan Microsoft untuk mencegah artefak ditandai oleh alat keamanan, dan mengawasi proses seperti “taskmgr.exe,” “processhacker.exe,” dan “procexp.exe” yang sering digunakan untuk analisis dan manajemen proses.
“Ini menggunakan panggilan API Windows (CreateToolhelp32Snapshot, Process32First, Process32Next) untuk menghitung proses dan memeriksa apakah nama yang dapat dieksekusi cocok dengan target yang ditentukan,” kata Cyfirma. “Jika kecocokan ditemukan, bergantung pada pengaturan AntiProcessMode, hal itu akan mematikan proses atau memicu keluarnya aplikasi klien.”
Beberapa teknik anti-analisis yang diadopsi oleh malware ini mencakup pemeriksaan untuk menentukan apakah malware tersebut berjalan di lingkungan virtual atau sandbox, dan jika ditemukan demikian, segera hentikan program tersebut. Selain itu, ia menggabungkan fitur untuk melewati Windows Antimalware Scan Interface (AMSI).
Meskipun kegigihan dicapai melalui tugas terjadwal dan perubahan Registri Windows, NonEuclid juga berupaya meningkatkan hak istimewa dengan menghindari perlindungan Kontrol Akun Pengguna (UAC) dan menjalankan perintah.
Fitur yang relatif jarang adalah kemampuannya untuk mengenkripsi file yang cocok dengan jenis ekstensi tertentu (misalnya, .CSV, .TXT, dan .PHP) dan mengganti namanya dengan ekstensi “.NonEuclid”, yang secara efektif berubah menjadi ransomware.
“NonEuclid RAT menunjukkan semakin canggihnya malware modern, yang menggabungkan mekanisme siluman canggih, fitur anti-deteksi, dan kemampuan ransomware,” kata Cyfirma.
“Promosinya yang meluas di forum-forum bawah tanah, server Discord, dan platform tutorial menunjukkan daya tariknya terhadap penjahat dunia maya dan menyoroti tantangan dalam memerangi ancaman tersebut. Integrasi fitur seperti peningkatan hak istimewa, bypass AMSI, dan pemblokiran proses menunjukkan kemampuan adaptasi malware dalam menghindarinya. langkah-langkah keamanan.”
